更新时间:2026-01-28 10:04:15
开发经验
242018年10月10日,我国正式发布威胁情报国家标准—— 《信息安全技术网络安全威胁信息格式规范Information security technology — Cyber security threat information format》(GB/T 36643-2018)。该标准由中国电子技术标准化研究院牵头制定,共有29家单位参与完成。
通过结构化、标准化的方法描述网络安全威胁信息,实现组织间网络安全威胁信息的共享和利用,支持网络安全威胁管理和应用的自动化。这意味着我国网络安全在法律法规方面又迈进了一步。同时,也符合当前网络安全领域威胁情报的发展现状和趋势。
国内外威胁情报共享的发展现状。国外威胁信息共享标准已经成熟并得到广泛应用。其中,美国联邦系统安全控制建议(NIST 800-53)、美国联邦网络威胁信息共享南方(NIST 800-150)、STIX结构化威胁表达式、CyboX网络可观察表达式、可信指标信息自动交换TAXII等都是国际威胁情报交换和共享的可靠参考。 STIX和TAXII作为两大标准,不仅得到了包括IBM、思科、戴尔、大型金融机构以及美国国防部、国家安全局在内的各大安全行业组织的支持,而且积累了大量的实践经验,并在实践中不断优化。
国内,安全厂商、甲方企业以及国家政府越来越重视威胁情报的发展。他们对网络安全情报信息的共享和自动化有着迫切的期望和需求。这次标准正好应运而生。
标准概述该标准描述了可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法和对策等八个组件,并将这些组件分为对象、方法和事件三个域,最终构建了完整的网络安全威胁信息表达模型。
在:
威胁主体和攻击目标构成了攻击者和受害者之间的关系,被归类为对象域;攻击活动、安全事件、攻击指标和可观测数据构成了完整的攻击事件过程,被归类为事件域;即存在特定的经济或政治目的,对信息系统进行渗透、入侵,实现攻击活动,引发安全事件的;以及防御者在网络中可以观察或测量的数据或事件作为攻击指标,以识别特定的攻击方法;在攻击事件中,攻击者使用的方法、技术和程序(TTP)构成攻击方法,防御者采取的防护、检测、响应、回复等动作构成对策;两者一起被归入方法域。以通用模型为参考,业界可以实现网络安全威胁信息的一致描述,从而提高威胁信息共享的效率和整体网络威胁态势感知。
标准适用范围:本国家标准适用于网络安全威胁信息供应方和采购方之间网络安全威胁信息的生成、共享和使用。可为网络安全威胁信息共享平台的建设和运营提供参考。
规范网络安全威胁信息的格式和交换方法是实现网络安全威胁信息共享和利用的前提和基础。因此,对于推动网络安全威胁信息技术的发展和产业应用具有重要意义。
网络安全威胁信息共享的目的是通过产品、系统和组织之间威胁信息的共享和交换,提高整体安全检测和防护能力。
适合产品之间以及产品和服务之间自动共享最新的威胁样本、事件、检测和防护规则;适合系统间自动和半自动共享威胁信息和线索;它适合在组织之间共享威胁分析报告和战略级威胁信息。该标准的发布将支撑国家网络安全工作多层面的发展。
在国家级态势感知层面,提供不同层级系统之间统一的威胁信息上传和传递格式,有助于快速建立态势感知机制;在行业级通知预警层面,提供统一的预警信息格式,在条件允许的情况下,可以形成机器可读的检测和防护规则,有助于大幅缩短响应时间;在产业层面协同联动层面,帮助不同厂商产品之间实现自动化交互,提升产业整体能力水平。此前,不少行业专家或厂商都在会议或其他场合表达了对威胁情报共享和标准化的期待。也有人分析,自动化、标准化、系统化将是威胁情报发展的必由之路。《信息安全技术网络安全威胁信息格式规范》发布并于2019年5月1日正式实施后,我国威胁情报发展将迎来新阶段。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
